Новости Промышленность США, Британии и Саудовской Аравии под угрозой: уязвимость в SAP уже в эксплуатации

[NewsMaker]

На серверы уже загружены шеллы, а дальше — только хуже.

---

---

Крупнейшие группировки вымогателей начали активно эксплуатировать Для просмотра ссылки Войди или Зарегистрируйся в SAP NetWeaver, получившую идентификатор Для просмотра ссылки Войди или Зарегистрируйся и оценку CVSS: 10.0. С её помощью злоумышленники могут загружать вредоносные файлы на серверы без прохождения аутентификации, что открывает путь к удалённому выполнению кода и полной компрометации систем.

Компания SAP Для просмотра ссылки Войди или Зарегистрируйся 24 апреля, спустя всего несколько дней после того, как специалисты ReliaQuest зафиксировали активное использование уязвимости в реальных атаках. Сегодня ReliaQuest сообщила, что к эксплуатации уязвимости подключились операторы вымогательских программ RansomEXX и BianLian. Хотя шифровальщики пока не были успешно задействованы, это сигнализирует об усилении интереса со стороны киберпреступников к NetWeaver.

По Для просмотра ссылки Войди или Зарегистрируйся ReliaQuest, группа BianLian была связана как минимум с одним инцидентом. Связь установлена на основании IP-адреса, ранее использовавшегося в инфраструктуре команды. В атаке RansomEXX применялся модульный бэкдор PipeMagic, а также уязвимость Windows CLFS (CVE-2025-29824), известная по прошлым кампаниям этой группировки. Первоначальная попытка развернуть вредоносное ПО через вебшеллы helper.jsp и cache.jsp завершилась неудачей, но позже хакеры воспользовались фреймворком Brute Ratel, внедрив его через inline-задачу MSBuild.

Параллельно с этим, атаки продолжают и кибергруппы, связанные с Китаем. Была зафиксирована активность группировки Chaya_004, а EclecticIQ Для просмотра ссылки Войди или Зарегистрируйся о целенаправленных атаках со стороны UNC5221, UNC5174 и CL-STA-0048. Судя по открытым файлам на одном из незашищённых серверов атакующих, китайские хакеры уже встроили бэкдоры в как минимум 581 инстанс SAP NetWeaver, включая инфраструктуру Великобритании, США и Саудовской Аравии. Кроме того, в списке на атаку значится ещё 1 800 доменов.

По данным Forescout, такие бэкдоры позволяют получить долгосрочный доступ к системам и могут быть использованы для достижения стратегических целей, включая военные, разведывательные и экономические интересы КНР. Особенно тревожит то, что компрометированные системы SAP тесно интегрированы с промышленными системами управления (ICS), что создаёт угрозу бокового перемещения и серьёзных сбоев.

На фоне обострения ситуации, SAP Для просмотра ссылки Войди или Зарегистрируйся — CVE-2025-42999 — использовавшуюся в цепочках атак ещё с марта в режиме нулевого дня. Администраторам настоятельно рекомендуется немедленно установить обновления безопасности, либо временно отключить компонент Visual Composer, если обновление невозможно. Дополнительно следует ограничить доступ к сервисам загрузки метаданных и тщательно отслеживать подозрительную активность.

Агентство CISA Для просмотра ссылки Войди или Зарегистрируйся уязвимость CVE-2025-31324 в каталог KEV, потребовав от всех федеральных структур устранить её до 20 мая в рамках директивы Для просмотра ссылки Войди или Зарегистрируйся . В предупреждении CISA подчёркивается, что подобные уязвимости часто становятся точкой входа для атакующих и представляют серьёзную угрозу для всей инфраструктуры.